(Employers' Challenge on Tracking Employees' Vaccination Status)

(Bu makale 6 Aralık 2021 tarihinde Av. Umut Kolcuoğlu'nun Dünya Gazetesi'ndeki Hukuk Notları başlıklı köşesinde yayımlanmıştır.)

COVID-19 sebebiyle, birçok işveren İş Sağlığı ve Güvenliği Kanunu kapsamında aldığı iş sağlığı ve güvenliği önlemlerinde değişiklikler yapıyor. Bu değişikliklerin neler olması gerektiğine ilişkin açık bir yasal düzenleme bulunmuyor. Bu sebeple, işverenler, Sağlık Bakanlığı tarafından yayımlanan Salgın Yönetimi ve Çalışma Rehberi ile Çalışma ve Sosyal Güvenlik Bakanlığı tarafından yayımlanan İş Yerlerinde COVID-19 Tedbirleri konulu yazı gibi tavsiye niteliğindeki çeşitli kaynaklardan faydalanıyor. Öte yandan, işverenler, tavsiye niteliğindeki bu kaynaklarda gösterilen önlemleri uygularken ilgili anayasal düzenlemeleri ve Kişisel Verilerin Korunması Kanunu hükümlerini gözetmek zorunda. Dolayısıyla işverenler, çalışanlarını aşı olmaya zorlayamıyor ve çalışanlarının aşı durumuna ilişkin bilgileri ancak mevzuat hükümlerine uygun olarak talep edebiliyor.

Kişisel Verilerin Korunması Kanunu uyarınca, aşılanmaya ilişkin bilgileri de içeren sağlık verileri, özel nitelikli kişisel veri kategorisinde yer alıyor ve bunların edinilmesi, kaydedilmesi ya da üçüncü bir kişiye aktarılması gibi herhangi bir işlem yapılabilmesi için çalışanın bu konuda aydınlatılması yanında kural olarak çalışanın açık rızası da gerekiyor. Dolayısıyla, işverenler tarafından çalışanlarının aşı bilgilerine erişilerek aşı durumlarının takip edilmesi ancak çalışanlar bu konuda açık rıza vermişse ve bu açık rızanın kapsamı dahilinde mümkün oluyor. Bu durumda dahi, taraflar arasındaki hiyerarşi gözetildiğinde, açık rızanın geçerli olup olmadığı tartışmalı bir konu. Öte yandan, açık rıza alınması uygulamasının iki istisnası var.

İlk istisna uyarınca sağlık verileri kanunlarda öngörülen durumlarda çalışanın açık rızası aranmaksızın işlenebiliyor. Buna karşın, halihazırda COVID-19 döneminde veya sonrasında işverenler tarafından çalışanlarının aşı takibinin yapılmasını mümkün kılan bir yasal düzenleme mevcut değil. İkinci istisnaya göre ise sağlık verilerinin belirli amaçlar doğrultusunda ve sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi halinde çalışanın açık rızasının alınması gerekmiyor. Mevcut durumda Kişisel Verileri Koruma Kurumu tarafından yayımlanan ve aşı bilgilerinin kamu kurum ve kuruluşlarınca yürütülen önleyici ve koruyucu faaliyetler kapsamında işlenmesi halinde Kişisel Verilerin Korunması Kanunu hükümlerinin uygulanmayacağını açıklayan bir COVID-19 PCR Test Sonucu ve Aşı Bilgisi Uygulamalarına İlişkin Kamuoyu Duyurusu var ama bu kapsama işverenler tarafından yapılan aşı takibinin dahil olup olmadığına ilişkin net bir açıklama sağlamıyor. Bu sebeple, işverenin bu şekilde bir işlem yürütmesi için çalışanın açık rızasını alması gerekiyor. Çalışanlarının açık rızasını alamayan işverenler aşı bilgilerinin işyeri hekimi tarafından toplanması ve aşı takibinin işyeri hekimi tarafından yapılması yoluna gidiyor. Bu senaryoda işyeri hekimi, iş sağlığı ve güvenliği mevzuatı kapsamında risk değerlendirmesi yapılması gibi amaçlarla ve belirli sınırlar dahilinde, çalışanların aşı durumunu işverenle paylaşabiliyor. Bununla birlikte, işyeri hekimi bu paylaşımı sağlık verilerinden çalışanların kimliklerinin tespit edilebileceği şekilde yapamıyor. Örneğin, işyeri hekimi işverene işyerindeki çalışanların yüzde yirmisinin aşı olduğunu bildirebiliyor ancak aşı olan çalışanların hangileri olduğunu bildiremiyor. Dolayısıyla, ikinci istisna işverenlerin işyerinde risk değerlendirmesi yapmasına imkân sağlaması açısından sınırlı bir fayda sağlasa da işverenler tarafından çalışanlarının aşı takibinin (örneğin işverenin insan kaynakları birimi vasıtasıyla) doğrudan yapılabilmesini mümkün kılmıyor.

Ayrıca, aşı takibine ilişkin olarak yukarıdaki hususlar gözetildiği hallerde dahi özel kurallara uyulması gerekebiliyor. Örneğin aşı takibinin elektronik ortam üzerinden yapılması durumunda işverenler tarafından aşı bilgilerinin kriptografik yöntemler kullanılarak (yani şifrelenerek) muhafaza edilmesi, kriptografik anahtarların güvenli ve farklı ortamlarda tutulması, veriler üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları güvenli olarak loglanması gibi çeşitli önlemlerin alınması gerekiyor. Dahası, aşı bilgilerinin bulutta depolanması ve bulutun sunucu çiftliklerinin yurt dışında bulunması ihtimalinde kişisel verilerin yurt dışına aktarılması riski de bulunuyor. Bu haller Kişisel Verilerin Korunması Kanunu kapsamında idari para cezası riski oluşturabilir.

Özetle, halihazırda işverenlerin aşı takibini mümkün kılan açık bir yasal düzenleme bulunmuyor. Bu yüzden, İş Sağlığı ve Güvenliği Kanunu düzenlemeleri çerçevesindeki yükümlülüklerine istinaden çalışanlarının aşı takibini yapmak isteyen işverenlerin Kişisel Verilerin Korunması Kanunu hükümlerini özellikle gözetmesi gerekiyor. Şu an için tüm sürecin işyeri hekimi üzerinden yürütülmesi en makul yöntem olarak gözüküyor. Yine de işverenlerde kafa karışıklığı yaratan bu konuya ilişkin açık bir düzenleme yapılması oldukça faydalı olacak.

© Kolcuoğlu Demirkan Koçaklı Attorneys at Law 2020

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.